1. Elementos de un análisis de
riesgo
El proceso de análisis de riesgo genera habitualmente un
documento al cual se le conoce como matriz de riesgo. En este
documento se muestran los elementos identificados, la manera
en que se relacionan y los cálculos realizados. Este análisis de
riesgo es indispensable para lograr una correcta administración
del riesgo. La administración del riesgo hace referencia a la
gestión de los recursos de la organización. Existen diferentes tipos
de riesgos como el riesgo residual y riesgo total así como
también el tratamiento del riesgo, evaluación del riesgo y
gestión del riesgo entre otras. La fórmula para determinar el
riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y
después de aplicar los controles podremos obtener el riesgo
residual
2. Análisis de impacto al negocio
El reto es asignar estratégicamente los recursos para cada
equipo de seguridad y bienes que intervengan, basándose en el
impacto potencial para el negocio, respecto a los diversos
incidentes que se deben resolver.
Para determinar el establecimiento de prioridades, el sistema de
gestión de incidentes necesita saber el valor de los sistemas de
información que pueden ser potencialmente afectados por
incidentes de seguridad. Esto puede implicar que alguien dentro
de la organización asigne un valor monetario a cada equipo y
un archivo en la red o asignar un valor relativo a cada sistema y
la información sobre ella. Cada uno de estos valores es un
sistema independiente del negocio.
Los incidentes individuales pueden variar ampliamente en
términos de alcance e importancia.
3. Puesta en marcha de una
política de seguridad
Las legislaciones nacionales, obligan instituciones públicas a
implantar una política de seguridad.
Asegura los derechos de acceso a los datos y recursos con
las herramientas de control y mecanismos de identificación.
La seguridad informática debe ser estudiada para que no
impida el trabajo de los trabajadores. Por eso, conviene:
Elaborar reglas y procedimientos para cada servicio de la
organización.
Definir las acciones a emprender
Sensibilizar a los operadores con los problemas ligados con la
seguridad
4. Técnicas para asegurar el
sistema
Deben existir técnicas para asegurar la información. Esto se
hace mediante aplicación de barreras y procedimientos que
resguardan el acceso a los datos y solo permiten acceder a ellos
a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de
protección o más (en la mayoría de los casos es una
combinación de varios de ellos).
5. Respaldo de información
⦿ Copia de seguridad: La información constituye el activo más
importante de las empresas, pudiendo verse afectada por
muchos factores tales como robos, incendios, fallas de disco,
virus u otros. Desde el punto de vista de la empresa, uno de
los problemas más importantes que debe resolver es la
protección permanente de su información crítica.
⦿ La medida más eficiente para la protección de los datos es
determinar una buena política de copias de seguridad o
backups. Este debe incluir copias de seguridad completa y
copias de seguridad incrementales. Es vital para las
empresas elaborar un plan de backup en función del
volumen de información generada y la cantidad de equipos
críticos.
6. Un buen sistema de respaldo debe contar con ciertas
características indispensables:
⦿ Continuo
El respaldo de datos debe ser completamente automático
y continuo. Debe funcionar de forma transparente, sin
intervenir en las tareas que se encuentra realizando el
usuario.
⦿ Seguro
Muchos softwares de respaldo incluyen cifrado de datos,
lo cual debe ser hecho localmente en el equipo antes del
envío de la información.
⦿ Remoto
Los datos deben quedar alojados en dependencias
alejadas de la empresa.
7. Protección contra virus
Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la
información que sostienen. Para poder evitar su contagio se deben vigilar los
equipos y los medios de acceso a ellos, principalmente la red.
Control del software instalado
Tener instalado en la máquina únicamente el software necesario reduce riesgos.
Control de la red.
Mantener al máximo el número de recursos de red solo en modo lectura, impide
que ordenadores infectados propaguen virus. En el mismo sentido se pueden
reducir los permisos de los usuarios al mínimo.
8. Protección física de acceso a
las redes
Independientemente de las medidas que se adopten para proteger los equipos
de una red de área local y el software que reside en ellos, se deben tomar
medidas que impidan que usuarios no autorizados puedan acceder. Las
medidas habituales dependen del medio físico a proteger.
A continuación se enumeran algunos de los métodos:
⦿ Redes cableadas
⦿ Redes inalámbricas